Datenschutz
der Kassenheld GmbH
ABSCHNITT I
Klausel 1 – Zweck und Anwendungsbereich
-
Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom
27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverord-nung) sichergestellt werden.
-
Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 zu gewährleisten.
-
Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
-
Die Anhänge I bis IV sind Bestandteil der Klauseln.
-
Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 unterliegt.
-
Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 erfüllt werden.
Klausel 2 – Unabänderbarkeit der Klauseln
-
Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
-
Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3 – Auslegung
-
Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
-
Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 auszulegen.
-
Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Klausel 4 – Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.
Klausel 5 – Kopplungsklausel
-
Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
-
Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.
-
Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.
ABSCHNITT II
PFLICHTEN DER PARTEIEN
Klausel 6 – Beschreibung der Verarbeitung
Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.
Klausel 7 – Pflichten der Parteien
-
Weisungen
-
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
-
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
-
-
Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II
genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.
-
Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
-
Sicherheit der Verarbeitung
-
Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder un-rechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von
beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
-
Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
-
-
Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gew-erkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.
-
Dokumentation und Einhaltung der Klauseln
-
Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
-
Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
-
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
-
Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
-
Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
-
-
Einsatz von Unterauftragsverarbeitern
-
Der Auftragsverarbeiter darf keinen seiner Verarbeitungsvorgänge, die er im Auftrag des Verantwortlichen gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Auftragsverarbeiter reicht den Antrag auf die gesonderte Genehmigung mindestens vier Wochen vor der Beauftragung des betreffenden Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom Verantwortlichen
nehmigten Unterauftragsverarbeiter findet sich in Anhang IV. Die Parteien halten Anhang IV jeweils auf dem neuesten Stand.
-
Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Daten-schutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 unterliegt.
-
Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
-
Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
-
Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
-
-
Internationale Datenübermittlungen
-
Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 im Einklang stehen.
-
Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8 – Unterstützung des Verantwortlichen
-
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
-
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
-
Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
-
Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
-
Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
-
Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
-
Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
-
-
Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Klausel 9 – Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.
-
Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
-
bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
-
bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
-
die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
-
die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
-
die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
-
-
bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679] oder, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
-
-
Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
-
eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
-
Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
-
die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
-
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.
ABSCHNITT III SCHLUSSBESTIMMUNGEN
Klausel 10 – Verstöße gegen die Klauseln und Beendigung des Vertrags
-
Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
-
Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
-
der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
-
der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 nicht erfüllt;
-
der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 zum Gegenstand hat, nicht nachkommt.
-
-
Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
-
Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
Auftragsverarbeiter:
Kassenheld GmbH
Name:
Anschrift: Zum Lonnenhohl 40, 44319 Dortmund
ANHANG II – Beschreibung der Verarbeitung
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden
Mitarbeiter des Auftraggebers sowie dessen Kunden.
Art der Verarbeitung
Speicherung , Auslesen, Abfragen, Verwendung, Abgleich, Löschen, Vernichten i.S.d. Art. 4 Abs. 2 DSGVO
Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden
Vertragsgegenstand ist die Administration, der Support und die Fernwartung, sowie alle damit in Zusammenhang stehenden Tätigkeiten, der zu betreuenden Soft- und Hardware (Kassensysteme im weiteren Sinne) des Auftraggebers durch den Auftragnehmer.
Der Auftraggeber räumt dem Auftragnehmer nur die Zugriffsrechte ein, die dieser zur Durchführung der Fernwartungsarbeiten tatsächlich benötigt. Er stellt sicher, dass der Auftragnehmer nur insoweit auf gespeicherte personenbezogene Daten zugreifen kann, als dies zur Durchführung der Fernwartungsarbeiten unerlässlich notwendig ist. Der Auftragnehmer darf von den ihm eingeräumten Zugriffsrechten nur in dem für die Durchführung der Fernwartungsarbeiten unerlässlich notwendigen Umfang Gebrauch machen. Der Auftragnehmer darf personenbezogene Daten im Wege einer Dateiübertragung oder Download für Zwecke der Fehleranalyse und -behebung nur dann vom System des Auftraggebers abziehen und auf sein eigenes kopieren, wenn dies für die Fehlersuche oder notwendige Datenverarbeitung unbedingt notwendig ist.
Der Auftraggeber ist berechtigt, die Fernwartungsarbeiten von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen. Soweit der Auftragnehmer daran mitwirken muss, gewährleistet er, dass dies möglich ist. Sollte der Auftraggeber davon Gebrauch machen, so muss er dies vor Beginn der Fernwartung beim Auftragnehmer anzeigen. Der Auftragnehmer muss personenbezogene Daten, die er bei der Fernwartung erhalten hat, unverzüglich löschen oder dem Auftraggeber zurückgeben, wenn sie für die Durchführung der Fernwartungsarbeiten nicht mehr erforderlich sind. Etwaige dem Auftragnehmer übergebene Papierausdrucke mit personenbezogenen Daten muss der Auftragnehmer nach Abschluss der Fernwartungsarbeiten unverzüglich zurückgeben.
Dauer der Verarbeitung
Entspricht der Laufzeit des Hauptvertrages
ANHANG III –Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten
Beschreibung der spezifischen technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss:
Im Einzelnen handelt es sich um folgende Maßnahmen:
-
Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um den Zutritt Unbefugter zu den Da-tenverarbeitungsanlagen, mit denen die Fernwartungen durchgeführt werden, zu verhindern:
Der Zutritt zu den Büros des Auftragnehmers, von denen aus die Fernwartung durchgeführt wird, ist nur Mitarbeitern des Auftragnehmers gestattet und möglich. Die Zugänge sind stets verschlossen und nur durch Zugangsberechtigte mittels Schlüssel oder Kartenzugängen möglich. Der Zutritt ist durch einen während der Geschäftszeiten ständig besetzten Empfang an den Eingängen abgesichert. Besucher erhalten Zugang nur in Begleitung eines Mitarbeiters des Auftragnehmers. Nur Mitarbeiter des Auftragnehmers erhalten eine Zugangsberechtigung. Die weiter bestehenden standardmäßigen Sicherheitsmaßnahmen setzen sich aus bekannten Technologien zusammen und folgen allgemein anerkannten Best Practices der Branche.
Zugangskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbei-tungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern:
Bei der Fernwartung kann die Verbindung oder die Freischaltung nach vorheriger Vereinbarung vom Auftragnehmer aus aufgebaut oder freigegeben werden, damit sichergestellt ist, dass keine unbefugten Einwahlversuche stattfinden können. Nach Abschluss der Wartungsarbeiten ist diese Verbindung wieder zu deaktivieren. Der Auftragnehmer verwendet hierfür einen Authentifikationsprozess. Bei der Fernwartung von Hard- und Software in Bezug auf Arbeitsplätzen einzelner Mitarbeiter des Auftraggebers kann die Verbindung oder die Freischaltung (nach einem Authentifikationsprozess) stets nur vom Auftraggeber aus aufgebaut (z. B. mittels Call-Back-Verfahren) oder freigegeben werden, damit sichergestellt ist, dass keine unbefugten Einwahlversuche stattfinden können. Nach Abschluss der Wartungsarbeiten ist diese Verbindung wieder zu deaktivieren. Der Auftragnehmer verwendet hierfür einen Authentifikationsprozess. Bei der Fernwartung der Hard- und Software auf Servern und Serversystemen, die vorzugsweise, aber nicht ausschließlich, abends oder am Wochenende erfolgen, kündigt der Auftragnehmer dem Auftraggeber jeweils den Beginn des Fernzugriffs per E-Mail oder telefonisch mit Bestätigung per E-Mail an, um dem Auftraggeber die Möglichkeit zu geben, die Maßnahmen des Auftragnehmers während des Fernzugriffs zu dokumentieren, zu verfolgen und eventuell erforderliche technisch-organisatorische Maßnahmen (etwa zur Sicherung) zu ergreifen und den Vorgang zu kontrollieren. Der Auftragnehmer hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports definiert, die für die Fernwartung genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations-Team überprüft regelmäßig kritische Firewall-Regeln.
Zugriffskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass gespeicherte oder in Verarbeitung befindliche Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:
Fernwartungsarbeiten dürfen nur begonnen werden, wenn sich das Fernwartungspersonal des Auftragnehmers mit Benutzerkennung und Passwort angemeldet hat. Der Sicherheitsgrad des Passworts wird vom Auftragnehmer geprüft und das Passwort ggf. als zu „schwach“ zurückgewiesen. Unzulässige Versuche, eine Nutzerkennung oder ein Passwort zu erraten werden durch Verzögerungen der Rückmeldung, bzw. durch Blockierung der IP oder der Teamviewer-ID erschwert. Die Passwörter werden nur nach Umwandlung durch Ein-Wege-Funktionen (Hash-Funktionen) gespeichert. Der Zugriff auf die umgewandelten Passwortdaten ist durch Berechtigungskonzepte (siehe oben Nr. 1 und Nr. 2) abgesichert und nur Mitarbeitern mit entsprechender Verantwortlichkeit gestattet. Der Auftraggeber ist berechtigt, die Fernwartungsarbeiten von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen. Soweit der Auftragnehmer daran mitwirken muss, gewährleistet er, dass dies möglich ist.
Trennungskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: Die Verarbeitung erfolgt auf Serversystemen, die durch ein System von logischen und physischen Zugriffskontrollen im Netzwerk logisch getrennt sind
Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Der Auftragnehmer stellt sicher, dass die Verarbeitung personenbezogener Daten in einer Weise erfolgt, welche eine Zuordnung der Daten zu einer spezifischen Person ohne Hinzuziehung zusätzlicher Informationen nicht mehr ermöglicht, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
-
Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und, dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
Der Auftragnehmer darf personenbezogene Daten im Wege eines Filetransfers oder Downloads für Zwecke der Fehleranalyse und -behebung nur dann vom System des Auftraggebers abziehen und auf sein eigenes kopieren, wenn dies zu Zwecken der Fehleranalyse und Behebung notwendig ist. Der Auftragnehmer informiert den Auftraggeber vor einem solchen Filetransfer. Die Datenübertragungen sind verschlüsselt und signiert. Der Zugriff auf die Systeme des Auftraggebers unterliegt wirksamen Zugriffskontrollen, siehe vorstehende Nr. 3. Der Auftragnehmer löscht personenbezogene Daten, die er bei der Fernwartung erhalten hat, unverzüglich, wenn sie für die Durchführung der Fernwartungsarbeiten nicht mehr erforderlich sind. Etwaige dem Auftragnehmer übergebene Papierausdrucke mit personenbezogenen Daten gibt der Auftragnehmer nach Abschluss der Fernwartungsarbeiten unverzüglich an den Auftragnehmer zurück oder vernichtet diese.
Eingabekontrolle
Der Auftragnehmer und der Auftraggeber ergreifen unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenver-arbeitungssystemen eingegeben, verändert oder entfernt worden sind: Der Auftraggeber protokolliert die Fernwartungsaktivitäten des Auftragnehmers mit Datum, Uhrzeit und Benutzerkennung automatisch, überprüft die Protokolle und bewahrt die Protokolle für ein Jahr auf. Bei besonders kritischen Aktionen ist der gesamte Dialog zu protokollieren, damit später erkennbar wird, auf welche Daten zugegriffen wurde.
Die Protokolldatenbanken werden durch eigenständig hierfür entwickelte Programme regelmäßig automatisiert auf Missbrauchshinweise ausgewertet und manuell stichprobenhaft überprüft.
-
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) und rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)
Verfügbarkeitskontrolle
Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind: Bei Fernwartung nicht einschlägig.
-
Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO) und Datenschutzmanagement (Art. 25 Abs. 1 DSGVO)
-
Datenschutz-Management;
-
Incident-Response-Management;
-
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);
-
Auftragskontrolle
-
Der Auftragnehmer und der Auftraggeber ergreifen unter anderem die folgenden Maßnahmen um zu gewährleisten, dass die Verarbeitung von Daten im Rahmen der Weisungen erfolgen kann:
Vom Auftraggeber sind der Wartung/Fernwartung nur solche Zugriffsmöglichkeiten zu eröffnen, die für die Fehlerbehebung unbedingt erforderlich sind (Prinzip der geringsten Rechtevergabe). Der Auftraggeber stellt sicher, dass im Rahmen der Wartung bzw. Fernwartung soweit möglich keine Funktionen frei geschaltet werden, die eine Übertragung oder Auswertung von Auftraggeberdatenbeständen zulassen. Falls eine Übertragung personenbezogener Daten unbedingt erforderlich ist, dürfen diese Daten beim Auftragnehmer nur temporär gespeichert werden. Ein zweckwidriger Zugriff auf andere Rechner im Netz ist vom Auftraggeber zu unterbinden.
Der Auftragnehmer macht von den ihm eingeräumten Zugriffsrechten nur in dem für die Durchführung der Fernwartungsarbeiten unerlässlich notwendigen Umfang Gebrauch.
ANHANG IV – Liste der Unterauftragsverarbeiter
Firma Unterauftragnehmer |
Anschrift/Land |
Beschreibung der übernommenen Teilleistung |
fiskaly Germany GmbH |
Zeilweg 42 60439 Frankfurt am Main |
Softwaregestützte bzw cloudbasierte Lösungen zur Fiskalisierung, also der manipulationssiche-ren, elektronischen Aufzeichnung und Archivierung von geschäftlichen Vorgängen |
Tecoyo UG (haftungsbeschrankt) |
Aussigstr. 11 |
Hosting & Entwicklung |
Stripe Payments Europe, Limited (SPEL) |
Aussigstr. 11 |
Zahlungsverarbeitung/Abwicklung |